Google diz que provedor de vigilância alvejou telefones Samsung com zero dias – TechCrunch

O Google diz ter evidências de que um fornecedor de vigilância comercial estava explorando três vulnerabilidades de segurança de dia zero encontradas em novos smartphones Samsung.

As vulnerabilidades, descobertas no software personalizado da Samsung, foram usadas juntas como parte de uma cadeia de exploração para atingir telefones Samsung com Android. As vulnerabilidades encadeadas permitem que um invasor obtenha privilégios de leitura e gravação do kernel como usuário root e, por fim, exponha os dados de um dispositivo.

Maddie Stone, pesquisadora de segurança do Google Project Zero, disse em um postagem do blog que a cadeia de exploração tem como alvo telefones Samsung com um chip Exynos executando uma versão específica do kernel. Os telefones Samsung são vendidos com chips Exynos principalmente na Europa, Oriente Médio e África, onde os alvos de vigilância provavelmente estarão.

Stone disse que os telefones Samsung que executam o kernel afetado no momento incluem o S10A50 e A51.

As falhas, desde que corrigidas, foram exploradas por um aplicativo Android malicioso, que o usuário pode ter sido induzido a instalar de fora da App Store. O aplicativo malicioso permite que o invasor escape da sandbox do aplicativo projetada para conter sua atividade e obter acesso ao restante do sistema operacional do dispositivo. Apenas um componente do aplicativo de exploração foi obtido, disse Stone, então não está claro qual era a carga útil final, embora as três vulnerabilidades tenham aberto o caminho para sua eventual entrega.

“A primeira vulnerabilidade desta cadeia, a ler e gravar arquivos arbitrários, foi a base dessa cadeia, usada quatro vezes e usada pelo menos uma vez em cada etapa”, escreveu Stone. “Os componentes Java de dispositivos Android não tendem a ser os alvos mais populares para pesquisadores de segurança, apesar de operarem em um nível tão privilegiado”, disse Stone.

O Google se recusou a nomear o provedor de vigilância comercial, mas disse que a exploração segue um padrão semelhante às infecções recentes de dispositivos, onde aplicativos Android maliciosos foram usados ​​indevidamente para fornecer spyware doméstico poderoso.

No início deste ano, pesquisadores de segurança descobriram o Hermit, um Spyware para Android e iOS desenvolvido pelo RCS Lab e usado em ataques direcionados por governos, com vítimas conhecidas na Itália e no Cazaquistão. O Hermit confia em enganar um alvo para baixar e instalar o aplicativo malicioso, como um aplicativo de suporte de operadora móvel disfarçado, de fora da App Store, mas rouba e captura silenciosamente os contatos da vítima, gravações de áudio, fotos, vídeos e dados de localização granular. O Google começou a notificar os usuários do Android sobre quais dispositivos foram comprometidos por Hermit. O provedor de monitoramento Connexxa também usou aplicativos maliciosos de sideload para segmentar proprietários de Android e iPhone.

O Google relatou as três vulnerabilidades à Samsung no final de 2020, e a Samsung lançou patches para os telefones afetados em março de 2021, mas não divulgou na época que as vulnerabilidades estavam sendo exploradas ativamente. Stone disse que a Samsung se comprometeu a começar a divulgar quando as vulnerabilidades estiverem sendo exploradas ativamente, seguindo Maçã e Googleque também divulgam em suas atualizações de segurança quando as vulnerabilidades são atacadas.

“Analisar essa cadeia de exploração nos deu novos insights importantes sobre como os invasores estão atacando os dispositivos Android”, acrescentou Stone, sugerindo que pesquisas adicionais podem descobrir novas vulnerabilidades em software personalizado criado por dispositivos Android. Fabricantes de dispositivos Android, como a Samsung.

“Isso destaca a necessidade de mais pesquisas em componentes específicos do fabricante. Isso mostra onde precisamos fazer uma análise de variantes mais aprofundada”, disse Stone.